Der operative RM-Prozess besteht aus fünf Phasen: Während der Phase der Risikoidentifikation sollen alle wesentlichen Risiken eines Unternehmens systematisch, vollständig und zeitnah erhoben werden. Anschließend werden die identifizierten Risiken analysiert und soweit möglich in Bezug auf ihre Eintrittswahrscheinlichkeit und ihr Schadensausmaß bewertet. Zudem müssen die Risiken zu einem Gesamtrisikostatus aggregiert werden (Risikobewertung). Identifizierte und bewertete Risiken müssen im Rahmen der Risikoberichterstattung an Entscheidungsträger im Unternehmen kommuniziert werden. Während der Phase der Risikosteuerung ergreift das Management in Abhängigkeit vom Risikostatus, seiner Risikoneigung und der Risikotragfähigkeit des Unternehmens Steuerungsmaßnahmen. Während der Risikoüberwachung überprüfen interne und externe Kontrollinstanzen die Ordnungsmäßigkeit und die Funktionsfähigkeit des RMS.